考试网 >> IT认证 >> 微软 >> MCSE指导 >> Windows系统及应用技巧（1）-$NtUninstallQ……$\恶意修改网页的解决

发布时间：2006-06-28 05:46     点击：

  几天一些恶意网站的恶意代码闹得挺凶，像是www.58q.com www.qq230.com  这样欠黑的网站，一打开这些网页就中了恶意脚本，而且一般的IE修复和杀毒软件都不能比较彻底清除 。

    典型症状：

    1. IE 首页被改为恶意网站，默认主页，起始页，甚至搜索页全部被更改

    2. C盘下生成文件夹：$NtUninstallQxxxxxxx$（x代表数字）

    从名字上看企图冒充微软更新补丁的卸载文件夹，并且在Win2000/XP下拥有系统文件级隐藏属性，比较隐蔽。文件夹中包含了恶意脚本文件winsys.vbs、winsys.cer

    3. 随机启动项被添加3项：

    4. 如用杀毒软件查杀，可以查到名为Harm.Reg.WebImport.g 的病毒，但若是清除不彻底，只是删除了文件夹，开机将会出现提示：

    清除方法小结：

    1. 删除启动项：

    建议通过msconfig 、优化软件禁用或注册表手动删除以上3项启动项

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

删除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunOnce

删除：Sys32，值为：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除：Sys32，值为：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

删除：internat.exe，值为：internat.exe

    2. 删除文件夹：

    文件夹选项设置

    然后删除整个$NtUninstallQxxxxxxx$ 目录

    3. 清理注册表：

    记下恶意网站的域名，以它为关键字搜索注册表或用注册表清理工具，因为恶意网站的名字会替换注册表中所有IE 默认起始页、默认搜索页、默认主页等键值。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。